Pistorius, die Webex-Panne und der „individuelle Anwendungsfehler“
Fast hätte ich „Das Geschwätz des…“ geschrieben, aber das muss man hier genauer betrachten.
Ich wollte diesen Blogartikel erst mit „Das Geschwätz des Boris Pistorius“ betiteln, habe es mir dann aber anders überlegt, weil das, was er da sagt, bis auf Eines recht sinnvoll und vernünftig ist:
Wohlgemerkt, nicht der Zustand, den er beschreibt, ist sonderlich vernünftig, aber das, was er darüber sagt, ist weitgehend vernünftig und plausibel.
Er sagt zum Beispiel, dass sie nicht das öffentliche Webex benutzen, sondern ein eigenes, selbst gehostetes, und besonders geschütztes Webex verwenden. Das ist ja schon mal einiges (setzt aber voraus, dass die Software selbst sauber ist, und da hat sich Cisco mit seinen Betriebssystemen noch keine großen Lorbeeren verdient).
Ein zentraler Knackpunkt ist, dass das System nur bis zur Stufe „Verschlusssache – nur für den Dienstgebrauch“ zugelassen ist und aber für vertrauliche/geheime Themen verwendet wurde.
Es ist zunächst mal richtig, ein solches System derart zu klassifizieren, das ist korrekt. Und, wenn sie tatsächlich weitere Sicherheitsmaßnahmen getroffen haben, auch vertretbar. Was ich aber für wichtig halte, dass das dann auch immer mitgeteilt wird, dass die Leute ermahnt werden. Ich habe das immer so gehalten, dass solche Sachen möglichst auch gekennzeichnet sind.
Wäre ich da zuständig, hätte ich z. B. die Ansage „Sie treten der Konferenz bei“ durch „Sie treten einer Konferenz der Sicherheitsstufe »Nur für den Dienstgebrauch« bei, höher klassifizierte Informationen sind nicht erlaubt“ ersetzen und das auf dem Bildschirm permanent und farblich anzeigen lassen. Das ist zwar auch keine absolute Sicherheit, aber es bringt schon was. Die Wahrscheinlichkeit, dass dann einer der anderen dran denkt und sagt „Leute, mal vorsichtig“ ist zumindest deutlich erhöht.
Bullshit-Punkte
Wie gesagt, ich halte die Erklärung von Pistorius für überwiegend gut, sie wird von mir deshalb nicht als Geschwätz klassifiziert.
Es gibt aber einen Punkt, der mir an der Aussage von Pistorius gar nicht passt:
Man kann nicht einerseits sagen, dass man ein eigenes System habe, das besonders abgesichert ist, und dann, dass man sich mit dem gewöhnlichen Telefon einfach einwählen kann. Das passt nicht zusammen, das ist wie Banktresor mit Tag der offenen Tür. Entweder ist es abgesichert, oder man kann leicht von außen rein, aber nicht beides zusammen.
Und wenn man dann sagt, dass die Panne auf einen „individuellen Anwendungsfehler“ zurückgehe, dass sich „nicht alle Teilnehmer an das sichere Einwahlverfahren“ gehalten hätten, man das „sichere Einwahlverfahren“ also auch bleiben lassen kann und auch ohne reinkommt, dann ist es eben kein sicheres Einwahlverfahren. Ein tolles Schloss nutzt ja auch nichts, wenn man die Tür erst gar nicht abschließt.
Er sei über eine nicht sichere, offene Verbindung dazugeschaltet gewesen.
Aber wenn das möglich ist, dann nutzen einem die „sicheren“ Verbindungen der anderen eben auch nichts, dann ist es eben nicht sicher. Hat man ja gesehen – pardon – gehört. Es gibt so einen abgenutzten Spruch, „Eine Kette ist nur so stark wie ihr schwächstes Glied“.
Und dann ist es eben kein „individueller Anwendungsfehler“, sondern ein Systemfehler, ein Konstruktionsfehler. Denn wenn ein Teilnehmer es schlicht vergessen oder bleiben lassen kann, sich auf sicherem Wege einzuwählen, und sich stattdessen auf unsicherem Wege einwählen kann, dann ist das eben nicht nur dessen Fehler, dann ist das System nicht sicher, dann ist es Systemschrott.
Sichere Zugangsmethoden sind eben nicht sicher, wenn man sie auch unterlassen kann, und dann – Steigerung – nicht nur sich selbst, sondern auch die, die über vermeintlich sichere Zugangsmethoden gekommen sind, mit kompromittiert. Dann ist es eben nicht sicher. Und zwar auch nicht dann, wenn man die sicheren Zugangsmethoden benutzt, sonst wären die Stimmen der anderen ja nicht bei den Russen gelandet, obwohl sie sich sicher eingewählt haben. Das ist eben nicht „sicher“.
Und wenn man dann als General zur „Singapur Air Show“ reist, und sich die Militärs dort auf einem Haufen befinden, dann muss einem doch von vornherein klar sein, dass man da ein hochgradiges Abhörziel ist, vor allem, wenn gerade Krieg ist. Da müsste man sich schon sehr überlegen, ob es noch vertretbar wäre, zu sagen, ob einem das Essen geschmeckt hat.
Ich könnte mir zum Beispiel vorstellen, dass Angreifer da einfach gefälschte WLAN-Accesspoints aufstellen. Was viele nämlich nicht wissen: Moderne Mobiltelefone verwenden nicht zwangsläufig immer das Mobilfunknetz, sondern können automatisch bei Verfügbarkeit einer guten WLAN-Verbindung auf VoIP umschalten, ohne dass man das als Anwender merkt. Dafür würde die gute Tonqualität sprechen, weil da bessere Codecs zum Einsatz kommen. Allerdings sollte auch die dann verschlüsselt sein (aber womöglich auch zu hacken). Dazu kommt ja noch die Möglichkeit, Mobilfunknetze zu faken, Kategorie IMSI-Catcher und so weiter.
Man muss schon ziemlich dämlich sein, als General zu einem solchen Ort zu gehen und sich dann über mehr als das Wetter zu unterhalten.
Im Prinzip dürfte man da nicht einmal echte Dienstnotebooks und Dienstkleidung mit hinnehmen, weil man dort dem sogenannten „Evil Maid“-Angriff (böses Zimmermädchen) ausgesetzt ist, die einem irgendwas an Wanzen oder Malware unterjubeln könnte. Ich habe das eigentlich immer so gehalten, dass ich Vorständen usw. aufgab, bei solchen Auslandsreisen keinesfalls ihr normales Notebook mitzunehmen, sondern sich ein Billig- oder ausgemustertes Altnotebook geben zu lassen, dessen Verlust kein nennenswerter Schaden wäre, und das jederzeit am Zoll usw. einfach aufgegeben werden kann (also im Sinne von Besitz aufgeben, einfach dort lassen und nicht mehr mitnehmen, wenn die Gefahr besteht, dass die einem da irgendwas reinjodeln), und der auf dem Hinweg frisch installiert und „leer“ ist und nach dem Rückweg geputzt und gelöscht oder gleich geshreddert wird.
Ein anderer Punkt ist, das sich Pistorius erstaunt darüber zeigt, dass man überhaupt auf die Idee kommen konnte, dass sich ein Russischer Spion direkt in die Webex-Konferenz mit eingewählt hätte. Da ist er nicht gut informiert, denn solche Angriffe gab es schon, das ist eigentlich ein Standard-Angriff. Ich hatte doch erwähnt, dass ich da ein Deja-Vu hatte. Genau das gab es nämlich schon einmal:
Militär-Meeting sollte «geheim» sein – Journalist hackt sich in Video-Konferenz von EU-Ministern
Blamabler Moment für die EU-Verteidigungsminister: Eigentlich wollten sie ein geheimes Video-Treffen abhalten. Doch dann winkte plötzlich ein Journalist in die Kamera.
Ein niederländischer Journalist hat ein Video-Treffen der EU-Verteidigungsminister gehackt und so eine peinliche Sicherheitslücke ans Licht gebracht. Dem Journalisten Daniel Verlaan war es am Freitag relativ simpel gelungen, an dem Ministertreffen teilzunehmen, wie der TV-Sender Rtl mitteilte.
Die niederländische Verteidigungsministerin Ank Bijleveld hatte über Twitter ein Foto von ihrer Teilnahme an dem Online-Treffen veröffentlichen lassen. Einem aufmerksamen Leser aber war aufgefallen, dass auf dem Foto fünf der sechs Ziffern des geheimen Zugangscodes für das Treffen zu lesen waren. Er gab daraufhin dem Sender einen Tipp. Die letzte Zahl war dann schnell gefunden und Verlaan sass am virtuellen Verhandlungstisch.
«Sie wissen, dass Sie an einem geheimen Treffen teilnehmen?»
EU-Aussenbeauftragter Josep Borrell hatte den neuen Teilnehmer der Runde verblüfft gefragt, wer er denn sei. «Ich bin ein Journalist aus den Niederlanden», stellte dieser sich den 27 EU-Verteidigungsministern vor. «Sie wissen, dass Sie an einem geheimen Treffen des Rates teilnehmen?», hat Borrell noch gefragt. Und: «Sie wissen, dass Sie eine Straftat begehen? Sie loggen sich jetzt besser schnell wieder aus, bevor die Polizei eintrifft.»
Den Vorfall sollte man eigentlich kennen. Und wenn man ihn kennt, kann man nicht mehr sagen, dass das so abwegig wäre.
Also: Ich habe nicht grundsätzlich was am Auftritt von Pistorius auszusetzen, das wirkt auf mich überwiegend sachlich, vernünftig, gut. Aber es sind trotzdem Fehler drin. Und es ist eben nicht nur ein individueller Anwendungsfehler. Es ist ein Systemfehler, wenn man diesen Anwendungsfehler überhaupt begehen kann.
Was natürlich nicht heißt, dass das System auch in sicherem Zustand nicht hätte abgehört werden können, denn das beste System nützt ja nichts, wenn der Raum als solcher abgehört wird, weil er verwanzt ist. (Obwohl ich persönlich da immer dafür plädieren würde, solche Gespräche auch nur mit Ohrhörern und nicht auf laut zu hören.) Das geht einfach nicht an, dass ein General in Singapur im Hotel beim Stelldichein der Generäle über Geheimnisse plaudert. Das geht einfach gar nicht. Weil man das dort unmöglich abhörsicher bekommt.
Wenn ich in Singapur ein Gespräch halbwegs abhörsicher führen wollte, würde ich es erstens persönlich führen und nicht über Telefon.
Und ich würde mich dazu entweder ins Getümmel der Schnellküchen stürzen, weil dort ein enormer, ständig wechselnder Lärm ist, und dazu möglichst wenig anziehen, damit die Kleidung nicht verwanzt ist. Oder ich hätte nur eine Badehose an und würde mit jemandem raus aufs Meer schwimmen, und dann nur die Köpfe aus dem Wasser ragen lassen, und wo man sehen kann, was sich 100 Meter um einen herum befindet – außer Wasser eigentlich nichts.
Generell würde ich aber auch folgendes entscheiden: Wer nicht mal drei Tage die Klappe halten kann, darf eben auch nicht zu Veranstaltungen nach Singapur reisen. Wenn jemand so wichtig ist, dann muss er da bleiben.
Und wer so mit geheimen Informationen umgeht, der darf eigentlich auch nicht General oder sonst Führungsoffizier werden.
Wenn ich überlege, was für einen Aufwand wir damals in meiner Grundwehrzeit getrieben haben, als es mal eine Geheimbesprechung des 3. Corps im Kompaniegebäude gab. Da wurde erst der Besprechungsraum leer geräumt und abgesucht, dann die Vorhänge alle zugezogen und befestigt, dann der ganze Flur gesperrt, im Treppenhaus musste ich den Zugang versperren, und auf halben Flurweg saß dann ein Feldwebel, keiner durfte rein, und wenn doch etwas gewesen wäre, hätte ich dem Feldwebel Handzeichen geben müssen, damit der dann mit Klopfzeichen von außen an der Tür signalisiert, dass man sie ansprechen muss, und dann muss man warten, bis sie die Tafel gewischt und von innen die Tür geöffnet haben. Und hinterher haben sie die Tafel dreimal mit viel Wasser abgerieben, das wir dann hinterher aufwischen durften. Und das, wohlgemerkt, in einem Bundeswehrgebäude innerhalb einer gut bewachten Kaserne. Und dann noch die Funkdisziplin, Ärger für jedes falsche Wort über Funk.
Und dann haben die so eine Generalspappnase, der nichts besseres einfällt, als in Singapur über eine unsichere Leitung darüber zu quatschen, wie wir Taurus liefern können. Angeblich hat er ja sogar ausgeplaudert, auf welche geheime Weise die Franzosen ihre Marschflugkörper dorthin schaffen.
Es gab Zeiten, in denen der dafür vor ein Kriegsgericht gestellt und noch am selben Tag standrechtlich erschossen worden wäre. Es gab auch Zeiten, in denen man das Kriegsgericht dabei weggelassen hätte.